点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
随着智能化道路改造、云控基础平台建设加快推进。智能网联汽车在新车销量中的占比不断提升,随之而来的网络安全、数据安全问题也成为社会热点话题。车、人、路、后台频繁的信息交换,将带来更多的安全风险和挑战。为此,12月16日,公安部第三研究所《信息网络安全》杂志联合谈思实验室在上海举办“智能网联汽车信息安全技术”研讨会。会议由谈思实验室创始人李文龙主持。公安部第三研究所《信息网络安全》杂志主编关非致欢迎辞。他指出,当前,我国智能网联汽车产业已进入全新的发展阶段,频繁的端与端之间的数据交换呼唤从监管政策、标准制定、技术创新等各方面齐头并进,协同联动,希望各位与会专家集思广益,为智能网联汽车网络安全与数据安全发展贡献力量。《信息网络安全》杂志主编 关非
国家工业信息安全发展研究中心车联网安全部研究总监马雨萌以线上形式参会,她对我国车联网安全管理现状进行了总结并特别指出,《关于加强车联网网络安全和数据安全工作的通知》立足于车联网产业快速发展安全保护的需求,不仅对不同主体责任与义务提出了明确要求,同时也是各主体开展车联网安全建设工作的重要指导性文件。国家工业信息安全发展研究中心基于国家顶层设计,秉承“小核心、大外围”的方式,已于2023年初启动车联网安全联合实验室建设及成员单位遴选工作,并于网安周汽车数据安全论坛发布实验室第一批研究成果。车联网安全联合实验室希望广泛联动产业各方,聚集优势力量,促进安全建设与管理规范的统一,欢迎业界各方积极参与,共同推动车联网安全保障能力的建设提升。
国家网络与信息系统安全产品质量检验检测中心博士 胡津铭
国家网络与信息系统安全产品质量检验检测中心博士胡津铭围绕“智能网联汽车信息安全威胁及标准”进行了介绍。胡博士系统地分析了智能网联汽车信息安全风险、防护技术,并指出智能网联汽车已经“武装到牙齿”,也因此暴露了更多风险面,保障智能网联汽车的信息安全对于维护公共安全和社会稳定具有重要意义,这就需要建立完善的车辆信息安全标准体系,从设计研发开始就对信息安全采取强制性要求,包括数据安全、网络安全、应用安全等各方面。2022年工信部发布的《车联网网络安全和数据安全标准体系建设指南》要求2023年底初步构建起车联网网络安全标准体系,虽然目前整车强标还没有发布,但是已经引起大家的强烈关注。胡博士对整车强标体系架构进行了简要介绍,并从车辆制造商应采取处置措施保护车辆不受风险评估中已识别的风险影响,密码安全要求,车辆应采用默认安全设置,汽车数据处理活动中的数据车内处理、默认不收集、精度范围适用、脱敏处理、个人同意及显著告知要求4方面对比了 R155和GB整车强标的差异。
长城汽车车联网网络安全主任工程师 陈雨旦
长城汽车车联网网络安全主任工程师陈雨旦基于10多年的网络安全一线研发工作,向与会嘉宾介绍了主机厂长城汽车基本安全理念,即“以隔离和控制为主要手段,混淆和监控为辅助手段”开展攻击面管理工作,以此守护长城汽车全球业务安全。经过2年多的实践,长城汽车车联网相关系统在多次省级护网和攻防演练中取得满意的成绩,基本验证了基于核心理念,以工程化方式解决安全问题、打造可验证安全基石、混淆和监控收敛数据暴露面等组合路线的可行性。他还重点向与会嘉宾介绍了长城汽车基于基本安全理念自研应用的安全利器——安全网关与IAM,并通过一个案例介绍了这两款利器如何在第三方服务管理,保护、管理和控制API,以及攻防演练中发挥重要作用。
山东泽鹿安全技术有限公司产品总监 李林峰
山东泽鹿安全技术有限公司产品总监李林峰介绍了基于靶场的汽车安全实践。随着汽车智能化、网联化、共享化、电动化发展,车联网面临来自云、管、端的多方威胁,整车厂和研究机构亟需好的工具来开展安全测试和安全研究。车联网安全靶场基于虚实结合技术,提供立体化、全周期的车联网安全研究支撑。通过内置海量的靶标库、场景库、武器库、漏洞库、测试用例库、课程资源库等,基于业务的资产分布视图等途径,靶场可以帮助安全人员对车联网设备开展漏洞研究、安全测试、风险预判、漏洞处置、人才培养等工作。他特别强调,泽鹿实验室服务了16家车企,对每家车企测试了很多车型并对漏洞做了深入的研究,积累了丰富的车联网安全经验。靶场具备1000个以上测试工具,150多种测试方法,并构建了安全测试知识图谱,即使是车联网新从业者也可以通过靶场平台进行渗透测试和漏洞挖掘,确保让“威胁”发生在靶场,让问题暴露在“安全事件”之前。
华人运通信息安全负责人 吴坚
华人运通信息安全负责人吴坚向与会嘉宾交流了华人运通关于车辆网络安全的实践与思考。他指出,不论国际还是国内,智能网联汽车网络安全均步入合规监管新阶段。华人运通汽车高度关注信息安全管理体系建设,已建立车辆网络安全管理体系(CSMS),包含体系管理、车辆生命周期管理、供应商管理等几个方面,并在实践中不断完善。在汽车网络安全开发方面,通过整车信息安全架构构建、TARA分析、基础网络安全分析、IDPS+VSOC云端一体化防御体系构建、网络安全测试等方式取得了一些成绩,如已实现带有IDPS系统车型的量产。与此同时,整个车联网行业仍存在“自发防护,发展不均衡”“分散防御、系统性不够”等痛点问题,并呼吁,主机厂和供应商都应重视网络安全合规建设,严格执行网络安全法规标准要求,构建协同联动的系统性防护机制,且要保持网络安全防护与成本控制、业务发展之间的平衡。北京信长城科技发展有限公司联合创始人、首席技术官 刘鹏
从数据安全视角出发,北京信长城科技发展有限公司联合创始人、首席技术官刘鹏指出,针对数据安全,国内国外都已有明确的法规政策与标准,特别是涉及到人脸、车牌等重要数据的处理原则与精度范围都有规定。智能网联汽车相当于巨大传感器,有十余种无线通信接口、物理接口,多操作系统通信协议,安全边界非常模糊。操作系统的多样性、接口复杂性等特点,使得智能网联汽车在攻防专家眼中处于“千疮百孔”的状态,由此对汽车产生的大量数据的安全形成了挑战。在汽车数据安全防护实践方面,他提出2点建议,一是要重视合规与权威检测,并给出车联网数据安全总体架构建议,二是建议构建基于密码技术的整车内生数据安全防护。阿维塔新能源汽车科技(上海)有限公司数据安全、车辆安全负责人 苏牧辰
汽车整车具有大量零部件,且不同零部件来自不同供应商,车联网供应量过长导致车企很难在短时间内对零部件的超高危漏洞实现应急响应。基于此,阿维塔新能源汽车科技(上海)有限公司数据安全、车辆安全负责人苏牧辰围绕阿维塔车联网安全中供应链安全有效管理进行了分享,总结了车联网供应链安全存在的痛点与问题。她同时指出,传统车代码量级大约1亿左右,带有智能座舱的车代码量级约5亿-6亿,预计2025年全自动驾驶的车辆代码量级能够达到10亿,汽车需要治理的安全部分过多,必须要分级分步开展治理工作。阿维塔基于TARA分析风险评估,对具有较高功能和敏感性的控制器开展更严格的审计,从有固件代码承载量的控制器入手开展治理工作,并在每一个治理领域开展分层治理。
本次会议设置了以“汽车行业网络安全防护及数据安全保护”为议题的圆桌对话。此环节由武汉大学教授曹越主持,来自高校和车企的嘉宾分别围绕车联网网络安全等级保护、安全测试技术、新型技术研究与高校车联网安全人才培养4个主题进行了研讨。西北工业大学网络安全空间学院网络安全系副主任张尚伟指出,网安专业有其跨学科的特点,西工大网安相关专业紧紧围绕网络安全“重实战、重对抗”的特点,针对实践课程进行改革,主要涵盖安全基础能力实践、攻防对抗实践、系统综合设计实践3个部分,以此来培养和具体行业结合的复合型人才。目前,学院设置有车联网安全相关课程,但汽车行业竞争激烈、技术更新迭代迅速,也希望企业能够参与到课程体系设计建设中,能够让学生学习到最新知识点和技术。华东师范大学博士刘峰分享了团队围绕车联网安全应用区块链、同态密码以及抗量子等方面的研究与思考。目前量子计算发展非常快,假设传统密码没有跟上量子计算的进展,可能某一个时间点传统密码即将面临巨大的安全挑战,后量子相关技术一定会是重要的发展方向。值得注意的是,研究和企业部署与应用还是存在距离,就像区块链应用一样,虽然大家都说区块链天生具有安全属性,研究领域围绕这方面做了很多工作,但是是否能真的安全应用目前还有待观察。量子方面也是同样的道理,因为对算力的要求会很高,应用确实还有一段距离。山东泽鹿安全技术有限公司首席技术官咸德玉认为,目前车联网安全测试存在4大挑战。一是车企对整车强标需求很紧迫;二是测试工具和技术依然有局限性,成熟的自动化工具较少;三是智能网联汽车产业环节多,测试难以覆盖全面;四是在隐私安全测试方面量化有难度。目前国内车辆架构呈现多样性发展态势,虽然测试模式和方法也在不断演进,但要做到覆盖所有车企车型还是有难度。为了解决这些挑战,需要重视安全测试,开展多样化测试手段,同时加强评估与监控、共享资源、模式创新、人才培养等工作。阿维塔新能源汽车安全负责人朱志博作为整车厂代表参与此环节。他强调,车联网网络安全等级保护工作起到了指导框架的作用,能够告诉车企应该做哪些方面的安全建设,同时还能起到验证作用。但这并不意味着只做等保测评就够了,等保是车联网安全的基本要求,只能解决部分问题,这也是车联网行业期待整车强标快速落地的原因。在等保之上必须要结合业务形态,针对含有重要数据的业务系统做解决方案并提出更高的测评要求。未来,随着智能驾驶的发展,座舱算力的提升,整车功能将会面临更大的安全挑战,此时对安全能力的建设要求就会更高,对于车联网安全人才的需求也会旺盛。车企在安全人才建设方面会注重累积2类人才,一类帮助企业做安全建设,另一类帮助企业发现问题,红蓝对抗才能帮助安全建设做得更好。本次会议有来自武汉大学、西北工业大学、浙江大学、华东师范大学、东南大学、山东大学、上海交通大学、黑龙江大学、福州大学、长城汽车、华人运通、阿维塔新能源汽车、邮储银行、中邮证券、斑马网络、保时捷工程技术有限公司、思博伦通信等30家单位共50名嘉宾参会。
文章来源: http://mp.weixin.qq.com/s?__biz=MzIzOTc2OTAxMg==&mid=2247530643&idx=4&sn=3fe331b532b4eb9c43e19b5ce49f7df9&chksm=e8d5996480caf7ba278b99894350cbfa72e9080f40bf660a70ed756a599256dbc534e98f71e0&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh